Nog meer dingen die van de AVG ineens niet zouden mogen

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit de nieuwsberichten van de afgelopen tijd van mensen die dingen niet meer mogen, en vooral: waarom ze ongelijk hebben.

Niet meer durven bidden voor de zieken – dankzij de privacywet. Dat schreef NRC onlangs. Het noemen van een naam in het gebed (eventueel in combinatie met een verwijzing naar ziekte) kan mogelijk als een verwerking van persoonsgegevens gezien worden. En dan zou de kerk een boete kunnen krijgen.

Onterechte angst, lijkt me. Allereerst is hier sprake van een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terecht komen. Een gebed of preek is geen doorzoekbaar gestructureerd geheel aan informatie. Daarnaast krijg je hier dan onmiddellijk een botsing met de vrijheid van godsdienstuitoefening (artikel 18 UVRM en artikel 6 Grondwet), zodat je op zijn minst een belangenafweging moet maken tussen de grondrechten privacy en godsdienst: wat weegt zwaarder, de religieuze behoeftes van de gelovigen of de privacy van de zieke die wellicht niet in gebed genoemd wil worden?

Wij kunnen geen medicijnendoosjes met etiketten meer aannemen bij onze retourdienst medicijnen, aldus mijn apotheek. Dat twitterde ik een paar weken terug. Het goed verwerken van oude medicijnen is belangrijk omdat deze het milieu ernstig vervuilen en gezondheidsrisico’s vertegenwoordigen, dus biedt vrijwel elke apotheek een inleverdienst aan. Maar dat ‘mag’ dus niet meer van de AVG. Eveneens onterecht, wat mij betreft. En wel om dezelfde reden: een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terechtkomen. Dit valt gewoon buiten de AVG.

School maakt gezichten leerlingen zwart op foto: ‘Privacy staat voorop’, aldus RTL Nieuws. De school had leerlingen foto’s mee naar huis gegeven (gewoon als stukjes papier dus) maar daarop alle gezichten met een zwarte stift onherkenbaar gemaakt. “”We zijn een speciale school met een kwetsbare doelgroep. En we hebben altijd te maken met kinderen die niet op de foto willen”, zo motiveerde het bestuur de beslissing.

Een beetje raar. Het gaat om portfolios gemaakt door de kinderen zelf tijdens de lessen van het afgelopen jaar. Dat lijkt me dus redelijkerwijs noodzakelijk voor het leveren van het onderwijs, en daarmee te rechtvaardigen binnen de AVG. (Als die foto’s niet nodig zijn, waarom worden ze dan gemaakt?) En de privacy-impact lijkt me zeer gering omdat de foto’s alleen worden gedeeld met de betrokkenen zelf en hun wettelijk vertegenwoordigers. Deze zie ik dus niet helemaal.

Zelfs op het oog ‘onschuldige’ gegevens zoals het vrijgeven van het gewicht of de lengte van een voetbalspeler aan media is naar de letter van de nieuwe wetgeving niet toegestaan, zo meldde voetbalclub Feyenoord onlangs. Voetbalspelers zijn immers werknemers van de clubs, en werkgevers hebben de privacy van personeel te respecteren. Zij worden daarom terughoudender in mededeling doen over blessures en dergelijke van spelers.

Wederom onterecht volgens mij. Inderdaad, een gewone werkgever moet terughoudend zijn met privacygevoelige informatie van de werknemer aan derden verstrekken. Dat mag alleen als het voor het werk noodzakelijk is of er een zwaarwegend belang is voor de werkgever. Denk aan een klant bellen dat een afspraak niet doorgaat omdat de betreffende collega ziek is: dat is relevant voor het werk (maar wat deze persoon precies heeft, natuurlijk niet).

Specifiek bij professioneel voetballers en andere topsporters zie ik dat echter anders. Hun rol in de maatschappij is veel groter, zodat de informatievrijheid hier een zwaardere rol gaat spelen. Heel kort door de bocht, het publiek heeft er recht op te weten wat er met ‘hun’ sterspelers aan de hand is. Natuurlijk zitten daar grenzen aan, een live camera boven het ziekbed gaat hem niet worden. Maar een voetbalclub mag volgens mij best melden dat hun speler Robin van Persie een kuitblessure opgelopen heeft en daarom niet kan spelen.

Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?

Arnoud

62 reacties

  1. Deze is van een kennis van me die in een apotheek werkt. Sommige apotheken: “ik mag de medicijnen van mevrouw slechts aan meneer meegeven als mevrouw een toestemmingsformulier invult, en meneer zich legitimeert.” Daar kan ik me iets bij voorstellen, stel mevrouw heeft een SOA en meneer weet het niet. Oplossing bij hen: apotheek vraagt aan meneer zich te legitimeren, en vraagt “om welke medicijnen gaat het?”. Opgelost. Dan: bedrijven (telemarketeers) die iets te verbergen hebben, maken omslachtige procedures om je rechten uit te oefenen, zoals inzage in wat er wordt opgeslagen en verwerkt, van wie de gegevens afkomstig zijn (als het om een verwerker gaat). . Ze maken het onduidelijk om welke juridische entiteit het gaat. Ze vereisen dan een aangetekende brief, met een kopie van je paspoort, en een schriftelijk verzoek. Terwijl ze ale gegevens om mij te bereiken, al van mij hebben – het kan dus niet bij de verkeerder terecht komen. Ik hoop dat de AP daar snel boetes voor gaat uitdelen, dit zijn juist de praktijken die we niet willen.

      1. Het feit dat iemand een geslachtsziekte heeft, valt onder het medisch beroepsgeheim. Een arts of apotheker mág dat dus niet vertellen aan anderen, ook niet aan de partner. Zie bijvoorbeeld dit artikel over partnerwaarschuwing bij aids/hiv:

        Anonieme sekscontacten op een homo-ontmoetingsplaats, waarbij hij niet altijd een condoom gebruikte. “Mijn vrouw weet dit niet, onmogelijk dat ik dit haar kan vertellen!”, roept meneer uit.

        1. Sorry. Ik wou vooral synisch overkomen. Maar ergens vind ik het wel cru dat artsen moeten toekijken hoe een ander ziek kan worden gemaakt, om de dader te beschermen. Ik zou wel willen dat artsen in dit soort gevallen hun mond niet hoeven te houden, net zoals advocaten dat niet hoeven te doen als zij weet hebben van iets ergs dat te gebeuren staat. (Thans, als ik dat hier goed lees: https://www.nrc.nl/nieuws/2000/09/07/vertrouwelijkheid-is-niet-absoluut-7509119-a900791 )

          1. Er zijn ook voor gezondheidszorgprofessionals mogelijkheden om de geheimhouding te doorbreken indien er een “conflict van plichten” ontstaat. Dit geldt met name bij acuut levensgevaar en kindermishandeling. In geval van SOA’s kan bijvoorbeeld de geheimhouding doorbroken worden als de partner zwanger is. Dit is vastgelegd in de WGBO.

          2. Ik vind het heel logisch. Zodra je aan het medisch geheim gaat tornen, werp je een barriere op voor mensen om dingen aan hun arts te vertellen. Als artsen in dit soort gevallen hun mond niet zouden hoeven houden, zou zo’n persoon niet meer aan de arts vertellen dat hij een SOA heeft. En dat is iets wat we met zijn allen niet willen.

    1. Die had ik ook laatst bij mijn apotheek. Ik had ook al een fotootje genomen van de regels, om door te kunnen sturen naar hier.

      Dit valt voor mij ook onder het verbazingwekkende kopje “is mijn vrouw door haar huwelijk met mij niet automatisch gemachtigd, en vice versa?” Daar viel vorig jaar ook deze webshop onder. En eerder (jaren geleden) een telefoon-bij-een-abonnement die ik persoonlijk in ontvangst moest nemen.

      Is de simpele oplossing voor de apotheek niet gewoon dat als de partner in kwestie de juiste gegevens heeft (een ordernummer, for all I care), deze blijkbaar al weet heeft van de medicijnen en ze dus ook gewoon mee mag nemen?

      1. Maar dat ordernummer zegt niks. Als ik toevallig dat nummer onderschep, dan kan ik jouw medicijnen ophalen. En dan kan ik de medicijnen ofwel misbruiken ofwel gewoon onderscheppen omdat ik jou haat en wil dat jij ziek wordt. En geloof me: er zijn genoeg mensen die een hekel hebben aan een ander en zo ver willen gaan (of gewoon zware medicijnen willen om een eind aan hun leven te maken of zware medicijnen als recreatieve drugs, en onderscheppen zou dan heel simpel zijn als je toch al weet dat iemand zware medicijnen gebruikt).

    2. Ja, die apotheken hebben nog een lange weg te gaan. Ik zag op het nieuws dat er inderdaad apotheken zijn die nu om toestemming en/of een legitimatie vragen, maar ik heb zelf nog nooit meegemaakt dat ik (of iemand anders die in de rij stond) ook maar iets heeft hoeven te bewijzen. En dat vind ik heel slecht, want als ik toevallig weet dat meneer of mevrouw X medicijn Y gebruikt en ik wil dat zelf gebruiken of voorkomen dat hij/zij het nog kan gebruiken, dan kan ik het dus zonder legitimatie gewoon op komen halen. Echt veilig is dat niet. Dus laten apotheken inderdaad maar overgaan op legitimatie en/of toestemmingsformulieren.

          1. Een factuur bevat aanzienlijk meer gegevens dan een kassabonnetje. Het gaat met name om de gegevens van de kopende ondernemer, zoals het Btw identificatienummer. Dus een ondernemer moet in het algemeen om een factuur vragen (bij grote detailhandelaren veelal via klantenbalie)

  2. Als docent zijnde heb ik er ook wel een paar. Zo mag ik ineens niet meer zien hoe lang mijn leerlingen doen over de e-learning. Stel je voor dat ik zie wie er moeite heeft met de stof… oh nee, daaruit zou ik kunnen afleiden wie dyslexie heeft en dat mag niet volgens de AVG.

    Ook leuk, een klassikale quiz op het digibord mag voortaan alleen met nicknames, anders weten de medeklasgenoten ook wie er nog niet begonnen is met leren (leerresultaten vallen schijnbaar ook onder de AVG). Wederom moet ik dan maar uitzoeken wie er achter een bepaalde nickname schuilgaat en wie extra aandacht nodig heeft van mij als docent.

    Verder mag ik van mijn werkgever ook niet meer registreren wie er dyslexie of andere leerstoornissen heeft (alleen van mijn mentorleerlingen, maar dan alleen voor mij toegankelijk en vooral niet benoemen tijdens een leerlingbespreking met de andere collega’s die lesgeven aan deze leerling). Stel je voor dat wij als docenten leerlingen met een leerstoornis extra aandacht geven. Een zeer onbedoeld effect van de AVG en volgens mij ook verkeerd geïnterpreteerd door mijn werkgever. Standaardbeleid kan m.i. ook zijn dat hier direct toestemming wordt gevraagd om deze info te delen met de docenten en dat deze toestemming vastgelegd wordt.

    1. Heel vreemd en het lijkt alsof iemand na ‘privacy’ is gestopt met lezen. Er mag van alles, maar wel met grondslag (dus niet meer ‘zomaar’ bewaren of gegevens voor iets anders gebruiken). Wat u beschrijft valt gewoon onder lesgeven en dat betekent dat er een grondslag is.

    2. Dat klinkt mij allemaal wel erg vreemd in de oren, hoe zit het precies met de organisatie van leerlingsgegevens op jouw school? Is er niet gewoon een centraal, deugdelijk beveiligd leerlingsdossier dat al dit soort dingen (inclusief toegang, toestemmingen en uitoefening van rechten) kan regelen? De afwezigheid van een dergelijk systeem lijkt mij namelijk een veel urgenter probleem onder de AVG dan klasgenoten die aldanniet van elkaars leerstoornissen te weten komen (wat in mijn schooljaren kinderen al schaamteloos door de klas schreeuwden als het als enig excuus gebruikt kon worden).

      1. Natuurlijk hebben wij een leerlingvolgsysteem waarin dit allemaal eenvoudig op te lossen is. Echter, zoals Gerben hierboven terecht concludeert, is er door de betreffende beleidsmedewerkers gestopt met lezen na ‘privacy’. Het systeem is nu dus zo ingericht dat alleen mentoren en zorg toegang hebben tot deze gegevens en er dus actief wordt uitgedragen door hogerhand dat deze gegevens niet gedeeld mogen worden tijdens vergaderingen met ‘gewone’ docenten.

        Ik ben dan redelijk roepende in de woestijn in een organisatie met >15.000 leerlingen en >1.000 docenten als ik begin over grondslag.

        Ten aanzien van de e-learning wordt gewoon door de aanbieder bepaald of gegevens inzichtelijk zijn en ik heb helaas te maken met twee aanbieders die nu dus de tijd hoe lang een leerling bezig is geweest hebben verwijderd. Dit is voor hen een stuk makkelijker dan inbouwen dat er om toestemming gevraagd wordt.

        1. “Het systeem is nu dus zo ingericht dat alleen mentoren en zorg toegang hebben tot deze gegevens en er dus actief wordt uitgedragen door hogerhand dat deze gegevens niet gedeeld mogen worden tijdens vergaderingen met ‘gewone’ docenten.”

          Ik wil hier niet te ver op doorgaan, maar dit in het bijzonder vindt ik dan nog wel iets waarover je prima hogerop navraag kunt doen. Als jij in een paar zinnen helder en overtuigend kunt stellen dat (1) de kwaliteit van het onderwijs hierdoor in het geding komt en (2) dit feitelijk helemaal niet nodig is, want zie bron en bron, dan lijkt het me dat je daar op zijn minst een enigszins zinnige reactie op hoort te krijgen toch? Of ben ik nou echt te optimistisch?

          1. … dan lijkt het me dat je daar op zijn minst een enigszins zinnige reactie op hoort te krijgen toch? Of ben ik nou echt te optimistisch?
            Laten we zeggen dat er grote verschillen zijn tussen de schoolbesturen :). Ik vermoed dat de reactie bij velen zal eindigen met iets in de trant van: ‘We hebben voor deze aanpak gekozen omdat we elk risico willen uitsluiten. Zodra er meer bekend is over wat wel en niet is toegestaan binnen de AVG, zullen we hier opnieuw naar kijken.’

            Is dat een zinnige reactie?

            Zelf heb ik er ook nog een: Een moeder vertelde me laatst dat ze geen foto’s mocht maken tijdens de uitvoering van haar dochter op school. Ze had alle andere ouders om toestemming gevraagd (via de app), en gekregen, maar het mocht echt niet van de directrice: ‘Want dan kon de school een boete krijgen.’

  3. LOI kan me de inloggegevens van hun leerportal niet sturen per email ivm AVG (daarentegen hebben ze bij mijn aanmelding voor de cursus Duits wel alle gegevens via een webformulier gevraagd en bevestigd per email).

    1. Bedoel je met inloggegevens het wachtwoord, bijv. als je het vergeten bent? Het is een goede zaak als een wachtwoord niet meer in plaintext naar de gebruiker kan worden toegestuurd, maar alleen als reset-link. Een bedrijf hoort wachtwoorden alleen versleuteld te bewaren. Maar misschien bedoel je wat anders.

    1. … Maar met het pennetje in een papieren archief. Geen geautomatiseerde verwerking, valt het dan toch onder de AVG? Want als ik er zo diagonaal doorheen scan zie ik een keer of tig ‘geautomatiseerde verwerking’ (en ja, beetje TL;DR)

        1. Op grond van Art. 4 lid 2 is iets een verwerking ook als het niet geautomatiseerd is. Maar dat wil nog niet zeggen dat AVG erop van toepassing is. Want Art. 2 lid 1 zegt: “1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

          Dus wat helemaal niet geautomatiseerd is, en niet in een bestand opgenomen en niet bestemd om daarin te worden opgenomen, dat valt niet onder de AVG, begrijp ik daaruit, wat aansluit op wat Arnoud stelde.

          1. Bedankt voor de aanvulling, de ironie ontgaat me niet dat ik de vraag te haastig heb gelezen. Een verwerking hoeft niet geautomatiseerd te zijn (art. 4 lid 2), noch is dit een voorwaarde voor toepasselijkheid (art. 2 lid 1). In de door Arnoud geciteerde zaak ging het er bovendien nou net om dat waar de evangelisten gebruik van maakten aangemerkt kon worden als bestand, automatisering is hier dus geen enkel vereiste.

          2. Het “bestand” hier in andere vertalingen (zoals de Engelse) en de toelichting gaat over het gestructureerd bewaren. Een kaartenbak, archiefkast met folders enz. vallen dus wel degelijk onder de AVG. Een schoenendoos met “notities” zit op het randje.

  4. … Maar met het pennetje in een papieren archief. Geen geautomatiseerde verwerking, valt het dan toch onder de AVG? Want als ik er zo diagonaal doorheen scan zie ik een keer of tig ‘geautomatiseerde verwerking’ (en ja, beetje TL;DR)

      1. En dan niet alleen klanten uit Europa, maar ook niet-Europese klanten IN Europa. En niet-Europese klanten, BUITEN Europa….

        Jules Polonetsky van Future of Privacy Forum, werd in Israel geblokkeerd door de Heral Daily mail. “451: Due to legal reasons. We recognise you are attempting to access this website from a country belonging to the EEA including the EU which enforces GDPR and therefore access cannot be granted at this time.”

          1. Volgens de AVG val je onder de AVG als je gegevens van Europese ingezetenen verwerkt, ongeacht waar je gevestigd bent. (Tenzij die gegevens slechts ondergeschikt/minimaal zijn.) Handhaving is natuurlijk vers 2, maar Europa is een grootmacht dus als die met boetes komen dan zal ook een Canadese webwinkel of een Braziliaanse nieuwssite zich toch zorgen maken.

        1. Ik ken het ook niet, maar de betekenis “Welsh slang for ‘male acquaintance'” lijkt me nog het dichtst in de buurt komen. Dan betekent het dus dat je geen vrienden mag maken op die site.

  5. Is er iemand die mij kan vertellen of dit mag of niet…

    Een kennis van mij is fotograaf. Deze plaatst dus ook foto’s op facebook en instagram van fotoshoots (en daar staan dan mensen op) die ze professioneel heeft gemaakt. Met de boodschap: Weer lekker met een opdracht bezig.

    Ergens zegt mijn gevoel dat dat niet mag..

    1. Hangt er vanaf. Zomaar zal het denk ik niet mogen, maar je weet natuurlijk niet of degene(n) op de foto toestemming heeft/hebben gegeven. Als zij aan die mensen vraagt “mag ik een foto op sociale media plaatsen om te laten zien waar we mee bezig zijn?” en het antwoord is “ja”, dan lijkt me dat prima. Desnoods laat je het even zwart-op-wit noteren dat er toestemming gegeven wordt als je jezelf helemaal in wilt dekken.

  6. “Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?” Ik ben beroepskracht bij een vrijwilligersorganisatie en een bestuurslid had een aantal keer gevraagd om de BCC te gebruiken, als er grotere groepen mensen aangeschreven worden. Bij 200 vrijwilligers kan ik me dat voorstellen en deden we dat voor de AVG. Ik had het bestuurslid echter ook behoorlijk boos in mijn nek hangen, nadat ik een aantal keer gewoon ‘Aan:’ had gebruikt voor berichten, die binnen het groepje andere beroepskrachten, bestuursleden en al dan niet vrijwilliger coördinatoren bleven, kortom vergelijkbaar met collega’s. Dit moet volgens hem ook via de BCC. Hij heeft de verordening net als velen nooit gelezen en begon er zaken bij te halen, die er geen biet mee te doen hadden, zoals hacken en dat alles wat digitaal is, doorgestuurd kan worden. Als iemand het verzendend account hackt, dan kan hij de BCC-geadresseerden gewoon zien. Het gevolg is nu, dat om de onnozelste zaken alles in BCC gedaan wordt met als bijkomend probleem, dat niemand me kan wijzen op vergeten geadresseerden.

  7. In de groep 8 ban mijn jongste zoon zijn er twee klassenmoeders. Voorheen gaf de juf hen alle e-mail adressen van de ouders. Nu mag dat opeens niet meer on der het mom van AVG en regelt de juf zelf alle e-mails over uitjes etc. richting de ouders. Een extra last voor de juf waar voorheen dat prima ging met de klassenmoeders.

    1. Volgens mij is dit weer zo’n gevalletje, als je het netjes vraagt (via een formulier) en iedereen is ongedwongen akkoord, kun je die e-mail adressen gewoon afgeven. Misschien hoeft dat dan niet eens als er een andere ouder bijkomt (omdat een ander vertrekt, bijvoorbeeld), omdat de ouders op ieder moment hun akkoord mogen intrekken.

      Je kunt zelfs overwegen om bij zij die dit niet willen, het terug bij de juf te leggen. Je maakt dus een lijst van de e-mail adressen van de ouders die akkoord zijn, en de ouders die ontbreken (of bijvoorbeeld iets als “niet akkoord” erbij hebben staan), melden de klassenmoeders aan de juf “die en die kinderen moeten ook nog bericht.” Zou een beetje doen denken aan ouders die een geheim nummer hebben.

      De reactie op de AVG is nogal eens om iets maar niet meer te doen. Vaak kun je het volgens mij echter afvangen door óf je overwegend belang duidelijk te formuleren óf het vrijblijvend te vragen (waarbij intrekken van akkoord op ieder moment mag en je iets mee moet).

      1. Inderdaad. En trouwens, ze kunnen toch ook gewoon een alias aanmaken? Als ouder A dus niet wil dat de klassenmoeders a AT outlook DOT com krijgen, dan maakt hij/zij gewoon een alias (bijv. voorschool AT outlook DOT com) en geeft dat af.

        Dat is kinderlijk eenvoudig en voor echte digibeten kan iemand diegene nog helpen (de leerkracht, klassenmoeder of andere ouder weet vast wel hoe dat moet).
  8. Van onze afdeling HR kreeg ik de vraag of ze de trouw-, rouw- en geboortekaartjes van collega’s nog wel mochten verwerken. Kaartjes die door de betrokkene zelf worden verstuurd met de bedoeling om anderen te informeren…

  9. Ook een leuke gister tijdens de lunch: medewerker van een electrotechnisch installatiebedrijf met bedrijfskleding vraagt zich af op hij op grond van de AVG bezwaar kan maken tegen het nieuwe t-shirt. Daarop wordt voortaan voor alle medewerkers de voornaam geborduurd en hij wil dat eigenlijk niet.

    1. Als de vertoning van de voornaam redelijkerwijs nodig is voor het werk, dan kan hij geen bezwaar maken. Bij bijvoorbeeld fastfood zie ik die noodzaak: je moet kunnen klagen over persoon X die je hielp, en een naam helpt daarbij. Plus, het komt vriendelijker over en dat vind ik ook wel een redelijke noodzaak. Bij een installatiebedrijf vind ik dat verhaal iets moeilijker rond te krijgen.

      1. Als iemand van een installatiebedrijf slecht werk levert, moet je toch ook kunnen klagen? En “dan kijk je op de bon” lijkt me geen argument, want bij een winkel of (fastfood)restaurant staat ook gewoon de voornaam van de kassier/kassière op de bon, dus…

        (m.u.v. Hoogvliet (supermarktketen), maar die zetten i.p.v. de voornaam het personeelsnummer erop, dus dan kun je a.d.h. van dat nummer alsnog klagen)
        1. Ik denk dat het idee is dat het bedrijf toch wel verantwoordelijk is, wie het werk dan ook heeft uitgevoerd. Vermoedelijk weet je wel welk bedrijf het heeft gedaan. Als je wil klagen, zeg je dus welk adres en tijdstip, dan kunnen zij wel zien wie ze daarop moeten aanspreken. Daar heb je zijn of haar naam niet bij nodig.

  10. en nog een tweede die lijkt op de voorbeelden vanuit het onderwijs hierboven. Ik ben lid van een vereniging van beroepsbeoefenaars. Daar loopt 1 fanatiek fotograferend lid rond. Niet iedereen is ervan gediend om op de foto gezet te worden. Vraag recent op de ALV: moet het bestuur hier iets aan doen? moet je daar vanuit AVG regels voor opstellen? volgens mij haalt men ook regelmatig intellectueel eigendom (portretrecht) en AVG door elkaar.

    1. Het portretrecht bestaat niet meer, omdat de AVG al regels stelt over omgang met portretten. (Los daarvan was het portretrecht nooit een IE.) Onder de AVG is fotograferen een verwerking van persoonsgegevens, waarbij je je in principe op het legitiem belang van de vrije nieuwsgaring beroept: de werkelijkheid kunnen vastleggen en/of vertonen. Daar staat het privacybelang van je geportretteerden tegenover. De afweging is in het algemeen niet te doen, dat hangt af van in dit geval het soort vereniging, het soort bijeenkomst, het beoogde gebruik van de foto’s en hoe privé een en ander is. Een serie foto’s bij een openbaar jubileum van een grote vereniging met alleen mensen op enkele meters afstand vind ik héél wat anders dan tijdens het drankje na de schaakwedstrijd van een club met 12 man, om nog niet te spreken van de kleedkamer van de rugbyvereniging terwijl iedereen aan het douchen is.

      Als het gebouw verenigingseigendom is (inclusief gehuurd door de vereniging) dan mag deze regels stellen over fotografie, gewoon omdat het hun eigendom is. Vraag dus het bestuur om dit te doen als er zorgen leven. Dit vereist geen ALV-instemming, dit is gewoon regelen van de dagelijkse orde en dat kan het bestuur gewoon besluiten.

  11. Ik kwam laatst ergens tegen dat het vragen van een leesbevestiging, en zelfs puur een ontvangstbevestiging, aan een email-client ook niet zou mogen onder de AVG. Ben de link zo snel even kwijt, maar het idee is dat je een nieuw stukje data over een persoon (‘heeft dit gelezen’) geautomatiseerd opslaat in een maildatabase. Geen idee of dat ergens op slaat, maar lijkt me wel interessant. Zou immers in dat geval ook van toepassing kunnen zijn op digitaal laten weten dat iemand een aangetekende brief heeft ontvangen.

    1. Daar valt wat voor te zeggen, zeker bij privécommunicatie (in tegenstelling tot zakelijke mails zoals offertes of meldingen onder een SLA). En je loopt bij die dingen ook tegen de cookiewet aan, omdat je informatie verstuurt zonder aparte vrijwillige toestemming van de eigenaar van die computer.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.